基于地址重寫的防ip地址偽造方法

專利名稱：基于地址重寫的防ip地址偽造方法
技術領域：
本發明涉及計算機通信領域，廣泛應用于各種網絡接入設備中，如以太網交換機、路由器、撥號服務器、DSL集中器等，特別涉及單臺計算機直接和網絡接入設備連接場合的基于地址重寫的防IP地址偽造方法。
背景技術：
IP地址偽造是網絡應用中常見的問題，聯網計算機進行基于TCP/IP協議的通信時，會發出IP數據包。其中，源地址字段中，應填寫由網絡機構分配給自己的IP地址，但該地址很容易被發送者修改。許多網絡攻擊者會利用這一特性，進行匿名攻擊，如DoS(拒絕服務)。
目前，防止IP地址偽造的主要方法有兩種一種是利用IPsec。IPsec中的AH協議可以對IP包頭產生認證數據，稱為ICV。ICV計算的內容包括IP包頭中傳輸過程中值不改變的字段(對于值改變的字段，計算時假設其值為0)、AH包頭(認證數據字段初值為0)、上層協議數據(假設傳輸過程中不會改變)等。
計算ICV使用的算法可以是基于單向哈希函數和對稱密鑰算法的消息認證碼(MAC)，如HMAC-MD5-96、HMAC-SHA-1-96等，也可以是基于單向哈希函數和公鑰算法的數字簽名。
基于IPsec方法的主要問題是實現比較困難，需要大規模密鑰管理機構的支持。該方法主要防止IP包在傳輸過程中被篡改、偽造，但無法防止用戶端的IP地址偽造。
另一種采用MAC地址、IP地址綁定的方法。該方法能對雙向通信中的IP地址偽造有一定遏制作用，但無法防止，因為用戶端可以同時修改MAC地址、IP地址。現有的方法也無法防止單向(用戶端發出IP數據包)的源IP地址偽造。

發明內容
本發明的目的在于提供一種操作簡潔、能夠防止用戶端的IP地址偽造的基于地址重寫的防IP地址偽造方法。
本發明的技術方案是這樣解決的網絡接入設備在直接連接單臺計算機時，不論單臺計算機采用動態IP地址還是靜態IP地址，網絡接入設備都會同時維護一個“端口-IP地址對應表”，端口i(1≤i≤n)所連接的單臺計算機上分配的IP地址與“端口-IP地址對應表”中第i項的IP地址字段值相同。
具體處理步驟如下1)若網絡接入設備的端口i(1≤i≤n)沒有連接單臺計算機，則“端口-IP地址對應表”中第i項的IP地址字段設置為0；若網絡接入設備的端口i(1≤i≤n)連接了單臺計算機，且使用網絡管理機構分配的靜態IP地址Xi，則網絡管理機構通過控制臺、網管協議、遠程登錄方式對接入設備進行手工配置，將靜態IP地址Xi同時設置到“端口-IP地址對應表”中第i項的IP地址字段；若網絡接入設備的端口i(1≤i≤n)連接了單臺計算機，且使用動態IP地址，網絡接入設備獲取了單臺計算機到網絡管理機構的動態認證、地址分配信息后，將獲得的動態IP地址同時設置到“端口-IP地址對應表”中第i項的IP地址字段；2)網絡接入設備端口i(1≤i≤n)收到IP數據包后，網絡接入設備檢查“端口-IP地址對應表”中第i項中的IP地址字段值，如果值為0，則丟棄IP數據包；如果IP地址字段值不為0，則將IP地址字段值寫入IP數據包的源IP地址字段，得到被地址重寫的IP數據包，網絡接入設備轉發該IP數據包。
所說的“端口-IP地址對應表”是指

采用本發明的方法及步驟，由于接入設備地址重寫是強制性的，不管計算機所發的IP包中源地址是否被偽造，接入設備都要重新寫入IP地址，從而有效防止了用戶端的IP地址偽造。由于重寫操作很簡單，因此，對網絡性能影響也非常小。


圖1是本發明的流程圖；圖2是本發明中接入設備維護的“端口-IP地址對應表”。
具體實施例方式
附圖是本發明的具體實施例；下面結合附圖對本發明的內容作進一步的詳細說明；參照圖1所示，1是進行地址分配的網絡管理機構。網絡接入設備2可以是以太網交換機、撥號服務器、DSL集中器等，用于連接計算機的端口號為1～N。單臺計算機3直接與網絡接入設備2連接。IP數據包4是單臺計算機3發出的IP包。IP數據包5是經過接入設備2地址重寫后的IP包。
本發明實現過程由地址分配、IP包中源IP地址字段重寫組成。
1)若網絡接入設備2的端口i(1≤i≤n)沒有連接單臺計算機3，則“端口-IP地址對應表”中第i項的IP地址字段設置為0；若網絡接入設備2的端口i(1≤i≤n)連接了單臺計算機3，且使用網絡管理機構1分配的靜態IP地址Xi，則網絡管理機構1通過控制臺、網管協議、遠程登錄方式對網絡接入設備2進行手工配置，將靜態IP地址Xi同時設置到“端口-IP地址對應表”中第i項的IP地址字段；若網絡接入設備2的端口i(1≤i≤n)連接了單臺計算機3，且使用動態IP地址，網絡接入設備2獲取了單臺計算機3到網絡管理機構1的動態認證、地址分配信息后，將獲得的動態IP地址同時設置到“端口-IP地址對應表”中第i項的IP地址字段；2)網絡接入設備2端口i(1≤i≤n)收到IP數據包4后，檢查“端口-IP地址對應表”中第i項的IP地址字段值，如果值為0，則丟棄IP數據包4；如果不為0，則將IP地址字段值寫入IP數據包4的源IP地址字段。得到IP數據包5，網絡接入設備2轉發IP數據包5。
參照圖2所示，網絡接入設備2上維護一個“端口-IP地址對應表”，表中主要字段為IP地址。
權利要求
1.一種基于地址重寫的防IP地址偽造方法，其特征在于，實現過程由地址分配、IP包源IP地址重寫組成，若網絡接入設備(2)端口i，即1≤i≤n，連接單臺計算機(3)時，單臺計算機(3)不論采用動態IP地址還是靜態IP地址，網絡接入設備(2)都會同時維護一個“端口-IP地址對應表”，保證單臺計算機(3)上分配的IP地址與“端口-IP地址對應表”第i項的IP地址字段值相同。
2.根據權利要求1所述的基于地址重寫的防IP地址偽造方法，其特征在于，具體處理步驟如下1)地址分配若網絡接入設備(2)的端口i，即1≤i≤n，沒有連接單臺計算機(3)，則“端口-IP地址對應表”中第i項的IP地址字段設置為0；若網絡接入設備(2)的端口i，即1≤i≤n，連接了單臺計算機(3)，且使用網絡管理機構(1)分配的靜態IP地址Xi，則網絡管理機構(1)通過控制臺、網管協議、遠程登錄方式對接入設備(2)進行手工配置，將靜態IP地址Xi同時設置到“端口-IP地址對應表”中第i項的IP地址字段；若網絡接入設備(2)的端口i，即1≤i≤n，連接了單臺計算機(3)，且使用動態IP地址，網絡接入設備(2)獲取了單臺計算機(3)到網絡管理機構(1)的動態認證、地址分配信息后，將獲得的動態IP地址同時設置到“端口-IP地址對應表”中第i項的IP地址字段；2)IP包源IP地址重寫網絡接入設備(2)端口i，即1≤i≤n，收到IP數據包(4)后，網絡接入設備(2)檢查“端口-IP地址對應表”中第i項的IP地址字段值，如果值為0，則丟棄IP數據包(4)；如果IP地址字段值不為0，則將IP地址字段值寫入IP數據包(4)的源IP地址字段，得到IP數據包(5)，網絡接入設備(2)轉發IP數據包(5)。
3.根據權利要求1所述的基于地址重寫的防IP地址偽造方法，其特征在于，所說的“端口-IP地址對應表”是指
全文摘要
本發明涉及計算機通信領域，廣泛應用于各種網絡接入設備中，如以太網交換機、路由器、撥號服務器、DSL集中器等，特別涉及單臺計算機直接和網絡接入設備連接場合的基于地址重寫的防IP地址偽造方法。實現過程由地址分配、IP包源IP地址重寫組成，若網絡接入設備端口，連接單臺計算機時，單臺計算機不論采用動態IP地址還是靜態IP地址，網絡接入設備都會同時維護一個“端口－IP地址對應表”，保證單臺計算機上分配的IP地址與“端口－IP地址對應表”第i項的IP地址字段值相同。本發明有效防止了用戶端的IP地址偽造。由于重寫操作很簡單，因此，對網絡性能影響也非常小。
文檔編號H04L12/24GK1564538SQ20041002605
公開日2005年1月12日 申請日期2004年4月19日 優先權日2004年4月19日
發明者李衛 申請人:西安交通大學